kamu sektörü İç kontrol standartları rehberi kurum risk ... · bu du~unce rehberi surekli...
TRANSCRIPT
Kamu Sektörü
İç Kontrol
Standartları Rehberi -
Kurum Risk Yönetimi
Hakkında
Tamamlayıcı
Ek Bilgiler
Çeviri:
Sacit YÖRÜKER
Sayıştay Uzman Denetçisi
2007
INTOSAI MESLEKİ STANDARTLAR KOMİTESİ
IG Kontrol Standartlarz Rehberi
Kurum Risk Yonetimi Hakkznda
Tamamlayzcz Ek Bilgiler
1992 tarihli INTOSAI fG Kontrol Standartlarz Rehberi i~ kontrolun
planlanmasznzn, uygulanmasznzn ve degerlendirilmesinin te~vik
edilmesi gerektigi du@ncesini yansztan canlz bir dokuman olarak
tasarlanmz~tz. Bu du~unce rehberi surekli guncel tutma pbasznz
gerekli kzlmaktadzr.
17'nci INTOUI Kongresi (Seul, 2001) 1992 tarihli rehberin artan
guncellenme ihtiyacznz saptamzT ve Treadway Komisyonu Sponsor
Organizasyonlar Komitesi (COSO) i kontrol butunle~ik
~er~evesinden bir model olarak yararlanmada mutabakatznz
belirtmi~tir. Sonradan, gun cell en mi^ rehber etik degerleri ve bilgi
i~lenmesine i l i~kin kontrol aktivitelerinin gene1 prensiplerini
i~erecek ~ekilde geni~letilmi~tir.
gun cell en mi^ fG Kontrol Rehberi 2004 yzlznda yayzmlanmz$tzr. Bu
rehber de zaman i ~ i n d e yeni geli~melerin etkisini, ornegin COSO
I~letme Risk Yonetim Ger~evesinil i~erecek ~ekilde geli~tirilecek ve
ra$ne edilecek yapyan bir dokuman olarak gorulmelidir.
Dolayzszyla, Rehbere yapzlan i~ bu ekleme, COSO fTletme Risk
Yonetim Modelinde belirtildigi gibi, risk yonetimi alanzndaki
guncel geli~meleri yansztmayz ama~lamaktadzr. Bu dokiiman esas
itibariyle kamu kesimindeki okurlara seslendigi i ~ i n daha ~ o k ozel
sektor baglantzszna sahip "i~letme" (enterprise) terimi yerine
"kurum" (entity) terimi kullanzlmz~tzr.
Burada saglanan ek bilgiler INTOSAI fG Kontrol Standartlan Alt
Komitesi Uelerinin ortak pbalarznzn urunudur. Bu guncelleme,
Fransa, Macaristan, Banglade$, Litvanya, Hollanda, Urnman,
Ukrayna, Romanya, Birle~ik Krallzk, Amerika Birle~ik Devletleri ve
Bel~ika (Ba~kan) Sayz$taylarznzn temsilcileri araszndan olu$turulan
bir ~ a l z ~ m a grubu tara$ndan koordine edilmi~tir.
Franki VANSTAPEL
Belpka Sayz~tayz Birinci Ba~kanz
INTOSAI fG Kontrol Standartlarz
Alt Komitesi Ba~kanz
I Ijletme Risk Yonetimi - Butunlejik Cevqeve COSO- Eylul2004)
COSO Kurum Risk Yonetimi temel varsayzmzna gore, her kurum
payda~larzna deger katmak i ~ i n vardzr. Kamu sektorunde, kamu
gorevlileri durustluk i ~ i n d e kamu yararzna hizmet etmeli ve kamu
kaynaklarznz dogru ~ekilde yonetmelidirler. Uygulamada
payda~lar, vatanda~lar ve onlarzn s e ~ i l m i ~ temsilcileridir.
Butun kurumlar belirsizlikle karp karpyadzr. Yonetim bakzmzndan
temel zorluk, payda~lara en fazla degeri saglamaya plz~zrken ne
miktarda belirsizligin kabul edilecegini belirlemektir. Ayrzca
belirtmek gerekir ki, belirsizlik hem risk hem de firsat kaynagzdzr
ve degeri a~zndzrma veya gu~lendirme veyahut kamu sektoru
terimiyle kamu yararzna daha ~ o k veya daha az hizmet etme
potansiyeline sahiptir. Risk yonetiminin amacz, yonetime
belirsizlikle ve bununla baglantzlz risklerle ve firsatlarla etkili
~ekilde ilgilenme imkenz vermek, deger yaratma kapasitesini
gu~lendirmek, daha etkili hizmetleri e~itlik ve adalet gibi degerleri
dikkate alarak daha verimli ve daha ekonomik ~ekilde sunmaktzr.
INTOSAI Kamu Sektoru fG Kontrol Standartlarz Rehberi i~
kontrolu bir kurumun ama~lannz ger~ekle~tirmesine imken veren
gene1 kapsamlz kavramsal bir GerGeve olarak gormektedir. COSO
Kurum Risk Yonetim modeli ve benzeri diger modeller daha uzaga
gitmekte ve kurumun potansiyel riskleri ve firsatlarz belirlemek
suretiyle, ama~larznz netle~tirerek ve riskleri en aza indirmek ve
firsatlarz en uste pkarmak amaczyla i~ kontrollarz olu~turarak
yonetilebilecegini ileri surmektedir.
Kurum risk yonetimi yalnzzca kurumsal yoneti~im rejiminin
kavradzgz fonksiyonlarzn tanzmznz geni~letmemekte, ama aynz
zamanda organizasvonlarzn amaclarznz gerceklestirrnevi dusunme
tarzznda bir degi~ikligi gerekli kzlmaktadzr. Bu nedenle etkili olmak
igin kurum risk yonetimi, strateji belirlenmesinde dikkate alznan,
organizasyonun her kademesinde ve her biriminde uygulamaya
konan ve organizasyonun ama~larznz ger~ekle~tirme kapasitesini
etkileyebilecek butun olaylarz belirlemeyi hedefleyen surekli bir
prosestir.
Bu dokiiman kamu sektorunde kurum risk yonetiminin uygulanmasz
igin tavsiye edilen bir ~ e r ~ e v e n i n ana hatlarznz ~izmekte ve
kendisine kzyasen kurum risk yonetiminin degerlendirilebilmesi
amaczyla bir temel saglamaktadzr. Ancak, dokuman Kamu Sektoru
IG Kontrol Standartlarz Rehberinin yerine g e p e y i veya onun yerini
doldurmayz ama~lamamakta; ama zij/e devletlerin uygun gordugu
hallerde bu standartlarzn yanz szra yararlanabilecekleri
tamamlayzcz ek bilgiler saglamayz hedeflemektedir. Ayrzca, i~ bu
dokuman, yetkili makamlarzn organizasyon bunyesinde mevzuat
hazzrlama, kural koyma veya siyasa belirleme yetkilerini
sznzrlamayz veya bu yetkilere mudahaleyi ongormemektedir.
so nu^ olarak, a p k p belirtmek gerekir ki, bu dokumanzn amacz
kurumsal yoneti~im standartlarz hakkznda ilave yonlendirici ilkeler
sunmaktzr. Bu yonlendirici ilkeler bir en iyi kurumsal yoneti~im
rejimi pratiginin uygulamaya ge~irilmesi i ~ i n detaylz siyasalar,
prosedurler ve pratikler getirmedigi gibi, butun hukukf ortamlarda
butun organizasyonlar bakzmzndan uygun degildir. Ne var ki, bu ek
kurumlarzn payda~lara saglanan hizmetleri en ust duzeye
gzkarmalarzna yardzmcz olacak sistemleri geli~tirebilecekleri bir
penel GerGeve saglamaktadzr.
Bu dokumanzn yapzlanmasz naszldzr? Bu ekin yapzsz INTOSAI Kamu Sektoru fG Kontrol Standartlarz
Rehberininkine benzerdir. Birinci bolumde kurum risk yonetimi
tanzmlanmakta ve kapsamz resrnedilrnektedir. fkinci bolumde
kurum risk yonetiminin ogeleri sunulrnakta ve i kontrol
standartlarzna ekler vurgulanmaktadzr.
a o i i i n l I : %rum Risk
Yone tim in in Tasvir i
1.1.1 COSO'nun "Kurum Risk Yonetimi: Butunle~ik Cergeve"
modeline gore, kurum risk yonetimi deger yaratmayz ve deger
korurnayz etkileyen riskleri ve $rsatlarz ele alzp i~lemekte ve $u
gekilde tanzmlanmaktadzr:
'Kurum risk yonetimi; yonetim kurulu, yoneticiler ve diger
'ersonel tarafindan uygulamaya gegirilen; strateji
tazzrlanmasznda ve organizasyonun butun aktivitelerinde dikkate
llznan; kurumu etkileyebilecek potanslyel olaylarz belirlemek ve
isk i~tahz sznzrlarz iginde riskleri yonetmek igin tasarlanan ve
~rganizasyonun amaglarzna ula~ma konusunda makul guvence aglayan bir prosestir" (COSO KRY modeli 2004)
' 1 . 2 Kamu sektorunde "deger yaratma" ve "deger koruma"
erimleri ozel sektordeki gibi dogrudan dogruya ilgili olma
izelligine sahip degildin Ancak, bu tanzm, olabildigi kadar gok
ektoru ve organizasyon turunu kapsamak amaczyla bilerek g e n i ~
utulmu~tur. Aslznda tanlmzn kamu sektoru kurumlarzna butuniiyle cygulanabilmesi igin, "deger yaratma" ve "deger koruma"
terirnlerini "hizrnet yaratrna" "hizrnet surdurrne" terirnleri ile
degi~tirrnek rnurnkiindur.
1.2 Misyonun Belirlenmesi 1.2.1 Kururn risk yonetirni igin hareket noktasz kururn tara$ndan
belirlenen rnisyon veya vizyondur. Bu rnisyon gergevesinde yonetirn
stratejik arnaglarz saptarnah, bu arnaglarz gergekle~tirecek
stratejileri segrneli ve butun organizasyon kadernelerine yayzlan
ikincil arnaglarz belirlernelidir.
1.3 Amaglarin Saptanmasi 1.3.1 INTOSAI f g Kontrol Standartlarz Rehberine gore, arnaglar
agagzdak~ dort kategoride jarnaglarzn gogu birden fazla kategoriye
giriyor olsa da) sznzflandzrzlabilir.
Stratejik- organizasyonun rnisyonuna hizrnet eden arnaglar
Operasyonel- operasyonlarzn duzenli, etik, ekonornik, verirnli ve
etkili ~ekilde uygulanrnasz ve kaynaklarzn kayzplara, ko tue
kullanzrnlara ve hasarlara karp korunrnasz ile ilgili arnaglar.
Raporlama- hesap verrne sorurnlulugu ile ilgili yukiirnluluklerin
yerine getirilrnesi dahil olrnak uzere raporlarnanzn guvenilirligine
i l i~kin arnaglar
Uygunluk- yiirurlukteki yasalara ve yonetrneliklere uygunlukla
ilgili ve hukurnet siyasalarzna uygun davranrna kapasitesi ile ili~kili
arnaglar
1.3.2 i lk iki kategorideki ama~lar tamamzyla kurumun kontrolunde
degildir. Bu nedenle, risk yonetim sistemi, bu risklerin tatmin edici
bir ~ekilde yonetildigi hakkznda ancak makul guvence
saglayabilirse de yonetime bu ama~larzn ne o l~ude zamanznda
kar~zlanacagznzn farkznda olma imkenznz vermelidir. Buna kar~zlzk,
raporlamanzn guvenilirligi ve uygunluk ile ilgili ama~lar kurumun
kontrolu i~indedir ve dolayzszyla etkili risk yonetimi, genellikle, bu
ama~larzn kar~zlanmakta oldugu konusunda yonetime guvence
verecektir.
1.4 Hadiselerin- Risklerin ve Firsatlarin
Belirlenmesi 1.4.1 Ama~larzn saptanmasznzn hemen ardzndan organizasyonun
kurum risk yonetimi ~er~evesinde, bu ama~larzn ger~eklepnesi
uzerinde etkide bulunabilecek hadiseleri (events) belirmesi gerekir.
Hadiseler olumsuz ya da olumlu bir etki dogurabilecegi gibi her iki
yonden etki yaratabilir. Olumsuz etki doguran hadiseler kurumun
ama~larznz ger~ekle~tirme kapasitesini engelleyebilen risklerdir.
Bu riskler i ~ s e l ve dz~sal etkenlerden kaynaklanabilir. Apgzdaki 1
no'lu Tema kamu kurumlarznzn kar~zla~tzgz risklerden pek ~ogunu
gostermekte ise de, belirli kurumlarz ilgilendiren b a ~ k a riskler de
soz konusu olabilir.
1.4.2 Olumlu etki doguran hadiseler olumsuz etkileri telaj? edebilir
veya firsatlar olu~turabilir. Fzrsatlar; meydana gelecek hadisenin
kurumun ama~larznz ger~ekle~tirme kapasitesini artzrma veyahut
kuruma ama~lara daha verimli ulapna imkenz verme olaszlzgzdzr.
Yonetim sadece riskleri en aza indirmeyi ara~tzrmakla kalmamalz,
firsatlarz kavrayanplanlar hazzrlamalzdzr.
1.5.1 Bir kururnun risk yonetirninin "arzulanan etkiye sahip" olup
olrnadzgznzn belirlenrnesi surecinin ~ o k onernli bir ogesidir.
Yonetirnin, kururn risk yonetirninin ogelerinin uygularnaya konulup
konulrnadzgznz ve etkili ~ekilde i~leyip i~lernedigini, yani onernli
yetersizlikler bulunup bulunrnadzgznz ve butun risklerin, kururn risk
i~tahz sznzrlarz i ~ i n d e kabul edilebilir pararnetrelere indirilip
indirilrnedigini degerlendirrnesi gerekir. Kururn risk yonetirninin
arzulanan etkiye sahip yonetirn oldugu ahvalde, kururn yonetirni,
dort kategorideki arna~larzn rnisyona ne o l~ude uygun du~tugunu
ve arna~lara ne derecede ula~zldzgznz anlayacaktzr. Butun kururnda
dikine ve enine etkili bir ileti~irn bu sureci kolayla~tzrrnak i ~ i n
elzerndir.
1.6 Sinirlamalar 1.6.1 Sistern ne kadar iyi tasarlanzp i~lerse i~lesin kururn risk
yonetirni yoneticilere gene1 arna~lara ula~zldzgz hakkznda rnutlak
guvence saglayarnaz. Bu nedenle i~ bu dokurnan ancak rnakul bir
guvence duzeyine ula~zlabilecegini kabul etrnektedir.
1.6.2 Makul guvence; arna~lara ula~zlrnasz veyahut arna~lara
ula~zlrnasz olasz degilse yonetirnin zarnanznda bilgi sahibi olrnasz
hakkznda tatrnin edici bir guven duzeyine tekabul etrnektedir.
Tatrnin edici guven duzeyine eri~rnek i ~ i n ne kadar guvence
gerektiginin belirlenrnesi bir deger hukrnu rneselesidir. Bu deger
hukrnunu verirken yoneticilerin kururnun risk i~tahznz ve arna~lara
ula~zlrna uzerinde etkisi olabilecek hadiseleri degerlendirrneleri
gerekir.
1.6.3 Makul guvence; belirsizligin ve riskin gelecekle ilgili oldugu,
bunu da kimsenin kesinlikle tahmin edemeyecegi du@ncesini
yansztmaktadzr. Ayrzca, kurumun kontrolu veya etkisi dz~zndaki
faktorler, ornegin siyasi faktorler, ama~lara ulapna uzerinde
etkide bulunabilir. Kamu sektorunde kurumun kontrolu dz~zndaki
faktorler ~ o k kzsa surede temel ama~larz bile degi~tirebilir. Diger
sznzrlamalar ~u ger~eklerin sonucu olabilir: karar alzrken verilen
deger hukrnunun hatalz olmasz, aksaklzklarzn be~er i kusurlar
omegin hatalar veya yanzlmalar nedeniyle vuku bulmasz, risklere
karp alznan kararlarzn ve belirlenen kontrollarzn maliyetleri ve
faydalarz dikkate alma zorunlulugu, iki veya daha fazla ki~inin
hileli anla~masz yoluyla kontrollardan szyrzlznmasz ve ust
yoneticilerin i~ kontrol sistemini umursamamasz. Bu sznzrlamalar
yonetimin ama~lara ulapna konusunda mutlak guvence elde
etmesini engellemektedir. 1 no'lu ~emada kar~zla~zlabilecek tipik
risklerden bazzlan gosterilmektedir. $emu apklayzcz olmayz amaG
edinmi~ olup sznzrlayzcz degildir.
nveya kamu teftiq sisteminin mevcut olmamasimn yo1 aqtigi qevre zarari
Maliyet aqimlarina ve yetersiz kalite standartlarina yo1 aqan proje gecikmeleri
sunumunda devamliligi saglamaya yonelik hizmet planlarmin
gerektigi qekilde saglayacak becerilerde ve kaynaklarda yetersizlik
Ekonomik degiqimler, om. daha duquk ekonomlk buyiimenin vergi gelirlerini ve daha geniq yelpazede hizmet saglanmasi firsatlarini azaltmasi veya mevcut hizmetlerden yararlanilmasim veya bu hizmetlerin kalitesini simrlamasi /
Duquk standartta hzmete yo1 aqan
inovasyon eksikligi I I
kurala uygun olmayan kullamm nedeniyle fonlarin kaybi veya kotuye
kullanimi
Arzulanmayan sonuqlar doguran
tutarsiz siyasa + Himet sunumunun
ger~eklegmesi Perfomamin
adapte
Muteahhitlerin, partnerlerin veya diger kamu kuruluqlarimn hizmetleri gerektigi gibi saglamadaki
Yeni bir hizmeti baqlatmadan once pilot projelerin gerektigi qekilde degerlendlrilmemesinin hizmet tam olarak faaliyete geqtiginde problemlere yo1
olunmamasi veya qok az
uygun olan veya uygun olmayan
teknolojilere yatirim
yapilmamasi
baqarisizliklari aqabilmesi
'.7 iC' kontrol ile Kurum Risk Yonetimi
1.7.1 Pek gok bakzmdan kurum risk yonetimi ig kontrol modelinin
dogal bir evrimi olarak goriilebilir. Organizasyonlarzn gogu kurum
risk yonetimiyle biitiinle~ik konseptleri uygulamaya koymadan once
ig kontrol modelini eksiksiz olarak uygulamaya yonelmektedirler.
Ig kontrol, kurum risk yonetiminin biitiinle~ik bir pargaszdzr. Kurum
risk yonetimi modeli ig kontrolii kapsamakla kalmaz, kurum i~letim
kararlarznzn naszl ana misyondan ve baglantzlz amaglardan akzp
geldigi hakkznda daha saglam bir kavramla~tzrma olu~turur ve
belirli hadise karpszndakz dogru cevabzn ne olmasz gerektigini
belirlemede yonetime yardzmcz olacak bir arag saglar. Kurum Risk
Yonetim Modeli, ozellikle a~agzda belirtilen alanlarda, INTOUI Ig
Kontrol Rehberinden daha ileri gider:
Amag kategorileri daha geni~tir ve ayrzca daha eksiksiz
raporlamayz, finansal olmayan bilgileri, stratejik amaglarz igerir;
Risk degerlendirme ogesini kapsar ve risk i~tahz, risk toleransz, risk
cevabz gibi degi~ik risk konseptlerini ortaya getirir;
Yonetim kurulunda bagzmszz yoneticilerin onemine vurgu yapar ve
onlarzn rollerini ve sorumluluklarznz ayrzntzlarz ile agzklar.
g o i u m 2: x r e m Risk
Yonetiminin Ogeieri Kurz~m risk yonetimi birbiriyle karplzklz ili~kili sekiz ogeden
oluqmaktadzr. Bu ogeler orgnnizasyonun yonetilme bigiminden
kaynaklanmakta olup yonetim sureciyle butunlegmi~levdir. Bu ogeler qunlardzr:
Kontrol ortamz,
Hadiselerin (event) tanzmlamasz,
Risklerin degerlendirilmesi,
Risk cevabz,
Kontrol faaliyetleri,
Izleme.
Risk yonetiminin ogelerini uygularken kurum, organizasyonun turn
kadernelerindeki faaliyetlerinin butununu dikkate almalzdzr.
Yonetim, ayrzca, risk yonetim modelini uygulnrken yeni projeleri ve
girifimleri incelemelidir.
lisk Yonetiminin Kurumun Butunune
1 onetirnin butunsel bir risk yakla~zrnzna sahip olrnasz gerekir.
Pratikte butun yonetirn kaderneleri, kendi faaliyet alanlarznz
etkileyebilecek hadiseleri degerlendirrneli ve bu konuda ust duzey
yoneticileri bi%ilendirrnelidirler. Bu degerlendirrne nitel ya da
nice1 olabilir. st yonetirn, organizasyon butununde global bir risk
degerlendirrnesi olu~turrnak arnaczyla kururnun butun faaliyet
kadernelerini ve alanlarznz kapsayan bu degerlendirrnelerden
yararlanrnalzdzr.
Kururn risk yonetirni yonetirn ve diger personel tara$ndan
uygularnaya konulur ve etkili ~ekilde i$letilir. Kururn risk yonetirni
organizasyon bunyesindeki bireylerin yaptzklarzyla ve
soyledikleriyle ger~ekle~ir . Benzer ~ekilde, kururn risk yonetirni
bireylerin eylernlerini etkiler. Her ~ a l z ~ a n , farklz ustalzklara ve
farklz anlarna yetilerine sahip bir bireydir. Kururn risk yonetirni,
personele kururnun arna~larz baglarnznda riskleri kavrarna irnkenz
verecek rnekanizrnalarz yaratrnaya yonelir.
Personelin sorurnluluklarznz ve yetki sznzrlarznz bilrneleri gerekir.
Bu nedenle, ki~inin gorevleri ile bu gorevleri yerine getirrne tarzz
arasznda a ~ z k ve dogrudan bir i l i~k i bulunrnalzdzr. st duzey
yonetirn esas itibariyle gozetirnle yiikurnludur. Boyle olrnakla
birlikte, ust duzey yoneticiler, ayrzca, gidilecek yonu belirler,
stratejileri, belirli i~lernleri ve siyasalarz onaylar ve dolayzszyla
organizasyon kulturune uyulrnasznz saglarnada yaprnsal bir rol
oynar.
2.1 Risk Ortarni/Ba~larni 2.1.1 Risk ortarnz/baglarnz, organizasyondaki butun bireylerin risk
bilincini etkiledigi i ~ i n organizasyonunun kulturunu yansztzr ve bir
disiplin ve yapz getirrnek suretiyle kururn risk yonetirninin diger
butun ogeleri i ~ i n bir ternel olu$turur. Kururnun risk yonetirn
felsefesi, risk i~tahz, yonetirn kurulunca yapzlan gozetirn, durustluk
ve etik degerler, personelin uzrnanlzklarz ve yonetirnin yetkileri ve
sorurnluluklarz dagztrna ve personeli organize etrne ve geli~tirrne
tarzz i~ ortarn faktorleri araszndadzr.
2.1.2 Bir kururnun risk yonetirn felsefesi, kururnun strateji
saptarnaszndan gunluk operasyonel aktivitelere kadarki her ~ e y d e
riski naszl degerlendirdigini belirleyen ortak inan~lar ve tuturnlar
setidir. Risk yonetirn felsefesi; kultur ve faaliyet tarzz ve ozellikle
risklerin naszl belirlendigi, kabul edilen risklerin turu ve risklerin
naszl yonetildigi uzerinde etki yapar. Bir kururnun risk yonetirn
felsefesi siyasa bildirirnlerinde, payda~lara ve personele yonelik
sozlu ve yazzlz iletirnlerde ve alznan kararlarda belli edilrnelidir.
Iletirn yonterni ne olursa olsun, ust yonetirnin sadece iletirn
siyasalarz yoluyla degil, arna aynz zarnanda gundelik eylernleri
araczlzgzyla felsefeyi gu~lendirrnesi son derecede onernlidir.
2.1.3 Risk i~tahz, bir kururnun arna~larzna ulapnak i ~ i n kabul
etrneye hazzr oldugu risk duzeyine tekabul etrnektedir. Risk i~tahz,
risk yonetirn felsefesini yansztzr; kururnun kulturunu ve faaliyet
tarzznz etkiler. Risk i~tahz nice1 veya nitel olarak tahrnin edilebilir.
Risk i~tahz strateji belirlernede dikkate alznrnalzdzr ki, bu dururnda
bir stratejinin tahmin edilen yararz ile risk igtahz yani riski kabul
veya tolere etme arasznda birparalellik bulunmalzdzr.
2.1.4 Ote yandan, risk ortamznzn kimligini saptarken ve uygun risk
igtahznz se~erken kamu sektorundeh kurumlarzn "genigletilmig
kurum" kavramznz dikkate almalarz gerekir. Diger kamu organlarz
veya yasama organlarz soz konusu olsun sponsorluk yapan veya
sponsorluk edilen kuruluglarzn gorugleri ve beklentileri ve partner
konumundah kuruluglarzn dugunceleri uygun risk yonetme felsefesi
ve risk igtahz konusunda dogrultuyu net bir gekilde gosterebilir.
2.1.5 Bir kurumun ust yonetimi i~ ortamzn yagamsal bir par~aszdzr
ve i~ ortamzn ogelerini onemli derecede etkiler. Organizasyon
kulturunun "ust yonetimin anlayzgz " tara$ndan belirlendigi veya
tersine altznzn oyuldugu malumun il8mzdzr. st yonetimin icra
yonetiminden bagzmszzlzgz, Uelerinin deneyimi ve ppz, mudahil
olma ve denetleme dereceleri ve faaliyetlerinin isabetliligi gibi
hususlar bir rol oynar. st icra yonetiminin Weleri ust yonetimin
parpsz olabilirse de, i~ ortamzn etkili olmasznz saglamak i ~ i n ust
yonetim ekibi i ~ i n d e kurum dzgzndan bagzmszz b irka~ zij/enin
bulunmasz uygun olur. Bunun nedeni, ust yonetimin faaliyetlerini
sorgulayarak ve denetleyerek icra yonetimini hesap vermeyle
yukumlu tutmaya ve alternutif gorugler sunmaya hazzr olmasz
gerektigidir.
2.1.6 Yonetirnin durustlugu ve etik degerleri stratejinin ve
arna~larzn uygularnaya konulrnasznz etkiler. Kururnun iyi bir
~ohrete sahip olrnasz o kadar degerlidir ki, davranz~ standartlarznzn
asgari yasal gerekliliklere basi t~e bir uyrnanzn otesine ge~rnesi
gerekir. Etik davranz~ ve yonetirnin durustlugu; etik ve davranz~
standartlarznz ve bu standartlarzn iletilrnesini ve bunlara
uyulrnasznz i ~ e r e n kururn kulturunun yan urunudur. st yonetirn
kururn kulturunun belirlenrnesinde kilit rol oynar. Gene1 rnisyonun
ger~ekle~tirilrnesi yerine kzsa vadeli sonu~lara gereksiz onern
verilrnesi uygun olrnayan bir i~ ortarnz gu~lendirebilir.
2.1.7 Forrnel davranz~ kurallarz onernlidir ve uygun etik anlayz$zn
ternelidir. Calzpnlarzn yonetirn kuruluna uygun bilgileri iletrne
irnkenz veren apgzdan yukarz iletirn kanallarz jveya forrnel ihbar
prosedurleri) da onernlidir. Ne var ki, yazzlz bir davranz~
kurallarznzn varlzgz, butun ~a l z~an lar kendilerinden beklenen
davranz~lar hakkznda bilgilendirildiklerini beyan etrni~ olsalar bile,
kendi ba~zna prosedurlere uyulrnasznz guven altzna alrnaz.
Kurallarz ihlal eden plzpnlar i ~ i n yaptzrzrnlann rnevcudiyeti de
aynz derecede onernlidir. st yonetirn tarafindan gonderilen
rnesajlar ~abucak kururn kulturiiyle butunle~ir, oyle ki kornpleks
yonetirn kararlarzyla kar~zla~zldzgznda sahip olunacak "dogru
tepkiler" kururn butunune yerle~ir.
2.1.8 Uzrnanlzk, verilen gorevlerin yerine getirilrnesi i ~ i n iht iya~
duyulan bilgileri ve becerileri ifade eder. Uzrnanlzk; uygun ki~ilerin
i ~ e alznrnaszna ve yukseltilrnesine, bu ki~ilerin gorevlere
tahsislerine ve egitilrnelerine ve yetersiz perforrnanslara ~ozurn
bulunrnaszna i l i~kin insan kaynaklarz pratikleri araczlzgzyla
desteklenrnelidir. Yonetirn, belirli gorevler i ~ i n spesifik uzrnanlzk
duzeylerini belirlerneli ve bunlarz spesifik kadrolarla ilgili uygun
gorev tanzmlarzna donu~turmelidir. Uzmanlzk ile maliyet arasznda
bir denge bulunabileceginin kabul edilmesi i ~ i n onemli bir
yonudur.
2.1.9 Bir kurumun organizasyonel yapzsz kuruma faaliyetlerini
planlama, uygulama, kontrol etme ve izleme imkenznz saglayan
~ e r ~ e v e y i verir. Organizasyonel yapz i~letim ihtiya~larzna uygun
olacaktzr. Buzz kurumlarzn merkezile~tirilmi~ olmaszna kar~zlzk
digerleri adem-i merkeziyet~i yapzdadzr. Buzz kurumlar cografi
mahalle gore organize edilmi~ olduklan halde digerlerinin
organizasyonu fonksiyona goredir. Yapz ne olursa olsun, bir
kurum, riskleri etkili olarak yonetmesine ve ama~larzna ulapnak
uzere faaliyetlerini yiirutmesine imken verecek ~ekilde organize
edilmelidir.
2.1.10 Yetkilerin ve sorumluluklarzn sznzrlarznzn Gizilmesi ki~ilerin
ve ekiplerin sorunlarz ele almak ve problemleri ~ozmek i ~ i n
inisiyatif kullanmada yetkili olma ve desteklenme derecesini ve
yetkilerinin sznzrlarznz ilgilendirmektedir. Temel zorluklar butun
personelin kurumun ama~larznz anlamasz, kendi eylemlerinin bu
ama~larzn ger~eklepnesine naszl katkzda bulunacagz ve sadece bu
ama~lara ulapna gerektirdigi o l ~ u d e bu sorumluluklarzn
devredilmesidir. Sorumluluk yetki kadar onemlidir. fG ortam,
bireylerin hesap vermekle yukiimlu olacaklarznzn bilincinde olma
derecesinden bwuk o l~ude etkilenir. Bu, icra ba~kanz dahil olmak
iizere butun kademeler igin ge~erlidir.
2.2 Amaglarin Belirlenmesi 2.2.1 Arna~lar stratejik duzeyde belirlenir ve daha alt duzeydeki
operasyonlar, raporlar ve uygunluk ile ilgili arna~lar i ~ i n bir ternel
olu$turur. Her kururn i~ ve d z ~ kaynaklz Ge~itli risklerle karpla~zr
ve arna~larzn belirlenrnesi, hadiselerin etkili ~ekilde
tanzrnlanrnasznzn, risklerin degerlendirilrnesinin ve risk cevabznzn
hazzrlanrnasznzn bir on ko~uludur. Arna~lar yonetirnin bu arna~larzn
ger~eklepnesine yonelik riskleri belirleyebilrnesi ve
degerlendirebilrnesi ve bu risklerin azaltzlrnasz i ~ i n gerekli
giri~irnlerde bulunulabilrnesi arnaczyla belirlenrnelidir. Arna~lar,
kururn risk tolerans duzeylerini saptayan kururn risk i~tahzna
paraleldir.
2.2.2 Kururnun rnisyon bildirirni, kalzn hatlarzyla, kururnun nelere
ulapnayz arzu ettigini belirler. Yonetirn; stratejik arna~lan saptar,
stratejiyi forrnule eder ve tekabul eden faaliyetleri tespit eder.
Stratejik arna~lar, kururnun rnisyonuna paralel olan ve bu rnisyonu
destekleyen ust duzey hedeflerdir. Misyonu ve ili~kili arna~larz
ger~ekle~tirrnek i ~ i n uygulanan strateji rnisyondan daha dinarniktir
ve ko~ullardaki degi~ikligi yansztrnak uzere ayarlanzr.
2.2.3 Kururnlarzn arna~larz ~ e ~ i t l i l i k gosterrnekte ise de buzz gene1
kategoriler uygulanabilir. Butun arna~lar a~agzdaki kategorilerden
birisiyle veya daha fazlaszyla ili~kili olrnaktadzr:
Operasyonel arna~lar- Bu arna~lar, performans hedefleri ve
kaynaklarzn kayzplara karp korunrnasz dahil olrnak uzere, kururnun
faaliyetlerinin etkililigi ve verirnliligi ile ili~kilidir. Hesaplarzn
karnuoyuna raporlanrnasz baglarnznda "kaynaklarzn/varlzklarzn
korunrnasz" tanzrnz ~u ~ekilde geni~letilebilir: karnu fonlarznzn
zimmete ge~irilrnesinin onlenrnesi veyahut ortaya pkarzlrnasz ve
duzeltilmesi. Operasyonel ama~larzn i~ inde kurumun faaliyet
gosterdigi belirli bir ortamz yansztmasz gerekir. Operasyonel
ama~lar tahsis edilen kaynaklarzn yonetilmesinde odak noktalarz
oldugu i ~ i n , operasyonel ama~lar net degilse veya iyi
kavranmamzpa, bu kaynaklar iyi yonetilmeyebilir.
Raporlamayla ilgili ama~lar- Bu ama~lar raporlamanzn
guvenilirligi ile ili~kili olup hem mali hem de mali olmayan verileri
igerebilir. Raporlamayla ilgili ama~lar u~uncu ki~iler i ~ i n
hazzrlanan bilgilerle ili~kili olsa da guvenilir raporlamanzn temel
amacz, yonetime tespit edilen hedefe uygun, dogru ve eksiksiz
bilgiler saglamaktzr. Dogru ve eksiksiz bilgiler olmakszzzn iyi
kararlar vermek yonetim a~zszndan son derecede zordur.
Uygunlukla ilgili ama~lar- Bu ama~lar yasalara ve yonetmeliklere
uygunlukla ilgili ama~lardzr. Piyasalarla, ~evreyle, ~alzpnlarzn
refahzyla ve benzeri konularla ilgili kurallar soz konusu olabilir.
Buzz kurumlarzn uluslararasz uygunluk ama~larzna uyum
gostermeleri de gerekebilir.
2.2.4 Etkili risk yonetimi, bir kurumun operasyonel, raporlama ve
uygunluk ile ilgili ama~larznzn ger~ekle~mekte oldugu konusunda
makul guvence saglar.
2.2.5 Yonetim ve yonetim kurulu tara$ndan belirlenen risk i~tahz,
strateji saptamada ve ama~larzn goreli onemini degerlendirmede
bir yonlendirici iprettir. Ger~ekte, risk i~tahz, bir kurumun
payda~lar i ~ i n deger pamu hizmetleri bi~iminde) yaratmada kabul
etmeye hazzr oldugu risk seviyesidir. Genellikle, hedeflenen
misyonu ger~ekle~tirmek uzere her biri farklz risklere sahip bir ~ o k
strateji tasarlanabilir. Yonetim, risk i~tahz ile en ~ o k uyupn
stratejiyi ve baglantzlz ama~larz sepelidir.
2.2.6 Risk toleransz, ama~larzn ger~eklepnesiyle ilgili olarak kabul
edilebilir fark duzeyidir. Risk toleransz performans hedefleri
yardzmzyla ol~ulebilir. Performans hedefleri; ~ o g u kez, ama~larzn
ili~kili oldugu aynz birimlerde ol~ulur. Risk toleranslarz
~er~eves inde faaliyet gostermek yonetime kurumun risk i~tahz
i ~ i n d e kaldzgz ve ama~larznz ger~ekle~tirdigi konusunda ~ o k daha
fazla guvence saglar.
2.3 Hadiselerin Tanimlanmasi (Event
2.3.1 Yonetim, vuku bulunca, kurumu etkileyecek potansiyel
hadiseleri (events) tanzmlar. Fzrsatlarz temsil eden hadiseleri,
kurumun stratejiyi baprzlz ~ekilde uygulama ve ama~larz
ger~ekle~tirme kabiliyetini olumsuz ~ekilde etkileyen hadiselerden
(risklerden) ayzrmak gerekir. Hadiseleri tanzmlamak i ~ i n yonetim,
kurumun butunu baglamznda risklere ve $rsatlara yo1 apbilen i~
ve d z ~ faktorler dizisini dikkate alzr.
2.3.2 Hadiseler; stratejinin uygulanmasznz veya ama~larzn
ger~ekle~mesini etkileyen i~ veya d z ~ orijinli olaylar (incidents)
veya vakalardzr (occurences). Hadiseler olumlu veya olumsuz
veyahut da hem olumlu hem de olumsuz etkiye sahip olabilir. Buzz
hadiseler apa~zk goriiliir iken bazzlarz belirsizdir ve hadiseler
onemsiz veya hatzrz sayzlzr etkilere sahip olabilir. Hadiselerin
gozden ka~masznz onlemek i ~ i n hadiselerin tanzmlanmasz ile
hadiselerin vuku ihtimalinin ve etkilerinin degerlendirilmesinin
birbirinden ayrz olarak yapzlmasz uygun olur.
2.3.3 Yonetimin hadiseleri belirleyen i~ ve d z ~ faktorlerin temel
kategorilerini anlamasz gerekir. DZT faktorler; ozellikle, politik,
sosyal ve teknolojik ortamdaki degi~ikliklerden ve kurumu veya
tedarik~ileri etkileyen ekonomik sorunlardan kaynaklanan
faktorlerdir. fG faktorler, yonetimin i ~ l e y i ~ tarzz ile ilgili olarak
yaptzgz tercihlerden kaynaklanzr. fG faktorler, kurumun alt yapzsz,
kurumun k a ~ mahalde faaliyet gosterdigi, personelin becerileri ve
uzmanlzklarz, kurum bilgi sistemlerinin naszl i~ledigi gibi hususlarz
igerir.
2.3.4 Hadiselerin tanzmlanmasz teknikleri hem g e ~ m i ~ e hem de
gelecege doniiktiir. G e ~ m i ~ hadiselere odaklanan teknikler, yzllzk
raporlar ve hesaplar, hatalz odemelerle ilgili a~zklamalar, i~
raporlar gibi ogeleri degerlendirebilir. Gelecekteki hadiselere
odaklanan teknikler, niifus degi~ikligi, yeni piyasa ko~ullarz ve
siyasal ortamda beklenen degi~iklikler gibi faktorlerle ilgilenebilir.
Bu teknikler karmapklzk ve otomasyon diizeyleri bakzmzndan ~ o k
degi~kenlik gosterir ve hadiselere yukarzdan a~agzya veyahut da
agagzdan yukarzya bakz~ a~zszyla odaklanabilir.
2.3.5 Hadiselerin soyutlanmz$ ~ekilde vuku bulmasz az rastlanan
bir durumdur. Bir hadise digerini tetikleyebilir ve hadiseler eT
zamanlz olarak vuku bulabilir. Yonetim, hadiselerin kar~zlzklz
olarak birbirleriyle naszl baglantzlz olduklarznz anlamalzdzr.
Ili~kileri degerlendirmek suretiyle risk yonetim pbalarznzn
nerelere yonlendirilecegini belirlemek mumkun olabilir.
2.3.6 Potansiyel hadiseleri kategoriler i~ inde gruplandzrmak da
yararlz olabilir. Hadiselerin yatay olarak butun kurum bunyesinde,
dikine olarak da faaliyet birimleri bunyesinde toplanmasz yonetime
hadiseler araszndaki ili~kileri kavrama imkenz verir. Hadiselerin
gruplandzrzlmasz, ayrzca, en maliyet etkin cevaplarzn neler oldugu
konusunda ipretler verebilir. Her kurum hadise
gruplandzrmasznda kendi metodunu olu~turabilirse de, standart
ara~lara ornegin "PEST" Piyasa Analizi2 metoduna dayanabilir.
2.4 Risklerin Deg'erlendirilmesi 2.4.1 Risklerin degerlendirilmesi, kuruma, potansiyel hadiselerin
ama~larzn ger~eklepnesi uzerinde ne derecede bir etkiye sahip
oldugunu degerlendirme imkenz verir. Yonetim, hadiseleri, nice1 ve
nitel tekniklerin bir kombinasyonundan yararlanmak suretiyle iki
perspektij?en e t k i ve olaszlzk- degerlendirmelidir. Hadiselerin
olumlu ve olumsuz etkileri ya bireysel olarak ya da kurum
butununu kavrayan kategori itibariyle degerlendirebilir. Risk
degerlendirmesi hem bireysel riskler hem de artzk riskler temelinde
yapzlmalzdzr.
"PEST" analizi kumm amaclan uzerindeki drs faktorlerin etkisini kavramava ve ~"
degerlendirmeye imkrin wren yararlr bir araGtrr. PESTPolitik (Political), Ekonomik (Economic), Sosyal (Social) ve Teknolgjik (Technolo~ical) faktorlerin krsalhlmr~ ad~drr
2.4.2 "Risklerin degerlendirmesi" terimi zaman zaman tek bir
aktiviteyi belirtmek i ~ i n kullanzlmakta ise de, kurum risk yonetimi
baglamznda risk degerlendirme ogesi daha ~ o k kurumun butununde
g e r ~ e k ~ e ~ e n devamlz ve tekrarlanan etkile~imli eylemler olarak
kabul edilir. Risk degerlendirmesinin amacz hangi hadiselerin
yonetimin dikkatinin odaklanacagz kadar onemli ve anlamlz
oldugunu belirlemektir.
2.4.3 Potansiyel olaylara i l i~kin belirsizliklerin olaszlzk ve etki
perspektiflerinden degerlendirilmesi gerekir. Olaszlzk (likelihood),
bir hadisenin belirli bir zaman periyodu i ~ i n d e vuku bulma
ihtimalini jpossibility) fade etmesine kar~zlzk, etki (impaco
hadisenin kurumun kendi ama~larznz ger~ekle~tirme kabiliyeti
uzerindeki tesir (effeco derecesi anlamzna gelmektedir. Yonetimin
suresince olaszlzgz degerlendirdigi zaman suresi, ilgili strateji ve
ama~larzn zaman ufkuna tekabul etmelidir. En onemli riskler vuku
olaszlzgz ve etkisi yuksek olan risklerdir. Bunun tersine en az onem
tapyan riskler vuku olaszlzgz ve etkisi du@k olan risklerdir.
Yonetim pbalarznz yiiksek olaszlzklz ve yuksek etkili risklere
odaklamalzdzr. jilpgzdaki 2 numaralz Temaya bakzn.) Surecin nihai
neticesi her bir riski olaszlzk ve etki a~zszndan derecelendirmek
olacaktzr. Buzz kurumlar "yuksek-du~uk" ~eklindeki
derecelendirmeyi kullandzklarz halde, diger buzz kurumlar "traj?k
z~zgz" sisteminde oldugu gibi kzrmzzz, sarzmsz kahverengi ve ye$
renkleri ve ba~kalarz nice1 bir ol@yii, ornegin yuzde oranznz
kullanmaktadzrlar.
$emu 2: Basit Risk Degerlendirmesi ve Cevap Matrisi
Onemlilik (Significan~
Yuksek Etkil D u ~ u k Olasilik
Yuksek Etkil Yuksek Olasilik
Knntrnl Prn~erliirleri
D u ~ u k Olasilik
Tolore edilebilir 1 r i a Kontrol Prosedurleri
2.4.4 Risk degerlendirme metodolojisi nice1 veya nitel olabilir;
objektifya da subjektif metotlara dayanabilir. Ayrzca, bir kurumun
butun faaliyet alanlarznda klasik degerlendirme tekniklerini
kullanmasz gerekrnez. Ancak, yonetimin riskleri degerlendirirken
insani faktorlerin farkznda olmasz ve ilgili butun personelin bu
degerlendirme i ~ i n kullanzlan derecelendirme sisteminin anlamznz
kavramalarznz saglamasz gerekir. Bu ger~eklepnezse, ust yonetimin
~ e ~ i t l i risklerin her birinin onemini belirlemesi zor olacaktzr.
2.4.5 Risk degerlendirmesi tamamlanzr tamamlanmaz, kurumun
risk oncelikleri bell1 olmalzdzr. Eger riske maruz olma kurumun
risk ijtahz ger~evesznde kabul edzlemez zse, risk 'jluksek oncelikli "
veya "kilit risk" olarak sznzflandzrzlmalzdzr. Kilit risklere kurumun
en ust kademesinde duzenli olarak dikkat gosterilmelidir. Kurum
b a ~ k a ama~lar belirledik~e, risk ortamz d e g i ~ t i k ~ e ve temel risklere
cevap verildik~e spesifik risk oncelikleri zaman i ~ i n d e degi~iklik
gosterecektir.
2.4.6 Yukarzda ana hatlarzyla a~zklanan risk degerlendirmesi
"bunyesel risk" ile ili~kilidir. Bunyesel risk, yonetimin hadisenin
vuku ihtimalini veya etkisini degi~tirmek uzere yapacagz
eylemlerinin yoklugunda kurumun kar~zla~acagz risktir. Artzk risk,
a~agzdaki paragrafta ana hatlarzyla apklanan yonetim risk
cevabznzn ~ar~zlzgznzn) dikkate alznmaszndan sonra geriye kalan
risktir. Bu metodun avantajz, kurumlara diger sorunlarz ~ozmek
igin daha iyi harcanabilecek iken yonetim tarafindan bu zaman
kendilerine ayrzlan riskleri belirleme imkenz vermesidir. @megin,
bunyesel riskin vuku ihtimalinin du@k olmasz nedeniyle boyledir.)
2.5 Riske Cevap (Risk Response) 2.5.1 flgili risk degerlendirdikten sonra yonetim bu riske naszl
cevap verilecegini kararla~tznr. Tanzmlanmz$ riske cevap verme
bi~imleri arasznda riskin transferi, riskin iyile~tirilmesi,
faaliyetlerin sona erdirilmesi ve riske katlanzlmasz yontemleri yer
almaktadzr. Kendi cevap turunu belirlerken, arzulanan risk
toleransz ~er~eves inde artzk riski ta~zyacak cevabz s e p e k
amaczyla, yonetim olaszlzk ve etki uzerindeki tesiri degerlendirir ve
her bir cevabzn maliyetini ve faydasznz dikkate alzr. Yonetim,
ayrzca, yararlanzlabilir butun $rsatlarz belirlemeli ve global risk
visyonu elde edilmesine imken saglamalzdzr.
2.5.2 Risk cevaplarz a~agzdaki kategorilerde dizilmektedir:
PaylapdRiskin Transferi- Riskin bir bolumunun transfer
edilmesi veya paylaplmasz suretiyle bu risk olaszlzgznzn veya
etkisinin azaltzlmasz. Bu, klasik sigorta yoluyla veyahut u~uncu
k i~iye riski bir b a ~ k a ~ekilde ustlenmesi i ~ i n odeme yapzlmasz
suretiyle ger~ekle~tirebilir. Bu se~enek, ozellikle, $nansal riskleri,
varlzklarla ve dz~arzya yaptzrzlan faaliyetlerle ilgili riskleri
azaltmada yararlzdzr. Ne var ki, risklerin ~ o g u butuniiyle transfer
edilemez. ~zel l ikle , hizmet dz~arzdan saglanmz~ olsa bile,
tanznmz~lzkla ilgili riskin transferi genellikle mumkun degildir.
AzaltmaIRiskin ~~ile~tiri lmesi- Risklerin bwuk ~ogunlugu bu
~ekilde ~ozumlenir. Risk olaszlzgznz veya etkisini veyahut her ikisini
azaltmak i ~ i n onlemler alznzr. Bu tur bir cevap; detaylz ~ekilde 2.6
numaralz bolumde ve f G Kontrol- Butunle~ik Cer~evede ele alznan
kontrol prosedurleri dahil olmak uzere, genellikle, ~ o k sayzda
gunluk yonetsel kararlan kapsar.
Kapnma/Faaliyetin Sona Erdirilmesi- Bu tur cevapta riske yo1
a p n aktivitelere son verilir. Kamu sektoru kurumlarznzn bir ana
program unsurunun saglanmaszndan vazgeqneleri ~ o k seyrek bir
durum olmakla birlikte, yeni bir hizmet sunum metodunun uygun
olup olmadzgznzn degerlendirilmesi veyahut spesij7k bir projeye
devam etmenin yerinde olup olmadzgznzn belirlenmesi soz konusu
oldugunda kapnma jvazgepe) yararlz bir cevap olabilir.
KabuVKatlanma- Risk olaszlzgznz veya risk etkisini azaltmak i ~ i n
h i~b i r onlem alznmaz. Bu cevap; etkiyi veya olaszlzgz kabul
edilebilir bir duzeye indirmek i ~ i n verimli bir metot belirlenmemi~
oldugunu veyahut bunyesel riskin zaten kabul edilebilir duzeyde
bulundugunu varsaymaktadzr. Ku~kusuz, riske katlanzlmasz, eger
risk ger~ekle~irse dogacak etkileri ele alan mudahale onlemleri ile
desteklenebilir.
2.5.3 "Kurum Risk Yonetim" modeli sadece riskleri onceden
tahmin edip yonetmeye degil, ama aynz zamanda, aynz yaklapm
ger~evesinde firsatlarz belirlemeye vurgu yapmaktadzr. Hangi
durumla kar~zlaprsa kar~zlapzn, yonetim sadece olumsuz etkileri
olan riskleri veya hadiseleri degil, olumlu etkiler barzndzran
firsatlarz veya hadiseleri dikkate almalzdzr. Bu konuda iki husus soz
konusudur. ilkin, tehditlerin azalmaszna paralel olarak, olumlu
etkiden yararlanmaya yonelik bir firsatzn ortaya pkzp pkrnadzgznz;
ikinci olarak da tehditler dogurmakszzzn olumlu firsatlar yaratan
ko~ullarzn ortaya pkzp ~zkmadzgznz incelemekgerekir.
2.5.4 Yonetim; riski ele alan ~ e ~ i t l i metotlarzn etkilerini
degerlendirmenin ardzndan risk tolerans sznzrlarz ~er~eves inde hem
risk olaszlzgzna hem de risk etkisine yonelik olarak tasarlanmz~ bir
cevabz veya cevap kombinasyonunu s e p e k suretiyle riskin en iyi
naszl yonetilecegine karar vermelidir. Se~i len cevabzn zorunlu
olarak, en az miktarda artzk risk sonucunu dogurmasz gerekmez.
Ancak, eger cevap yine de risk tolerans derecesini agzyorsa,
yonetimin ya cevabz ya da risk tolerans duzeyini yeniden incelemesi
gerekecektir.
2.5.5 Bunyesel riske yonelik alternutif cevaplarzn
degerlendirilmesi, bir cevaptan kaynaklanabilen ilave risklerin
dikkate alznmasznz gerektirir. Bu durumda ust yonetimin cevaplarz
global perspektlften degerlendirmesi yararlz olur. Bu
degerlendirme, ust yonetime genel risk cevap pro$line iligkin genel
bir bakzg verecegi gibi varlzgznz surduren artzk risklerin turlerinin
ve niteliginin genel misyona ve risk igtahzna uygun dugup
dugmedigini inceleme imkenz saglar.
2.5.6 Riskleri kargzlamak i ~ i n tercih edilen metotlarzn se~iminin
hemen ardndan yonetimin bir uygulama planz hazzrlamasz gerekir.
Her uygulama planznzn kritik kzsmz kontrol faaliyetlerinin risk
cevabznzn etkili gekilde icra edilmesini saglamaszdzr.
2.6 Kontrol Faallyetleri 2.6.1 Kontrol faaliyetleri; yonetimin risklere yonelik cevaplarznzn
uygulanmakta oldugunu guven altzna alan siyasalar ve prosedurler
butunudur. Kontrol faaliyetleri butun organizasyonda, butun
kademelerde ve butun fonksiyonlarda cereyan eder. Kamu Sektoru
IF Kontrol Standartlarz Rehberi etkili kontrollarz olugturulmaszyla
ilgili ayrzntzlz bikiler i~ermekte oldugundan, bu Ek i~ kontrollarz
kurum risk yonetimi baglamz i ~ i n e yerlegtirmekten bagka bir amaG
tagzmamaktadzr.
2.6.2 Kurum risk yonetimi, kontrol faaliyetlerini, bir kurum
tarajindan yonetim amaglarzna ulagmak iGin uygulanan prosesin
onernli bir parpsz olarak gorrnektedir. Kontrol faaliyetleri sadece
kendi ba~zna bir amaG olrnadzgz gibi "yapzlacak dogru ~ e y " olarak
ortaya ~zkrnaz. Bu faaliyet, daha ~ o k , yonetirn arna~larznzn
ger~eklepnesini saglarnaya irnken veren rnekanizrnalar olarak
hizrnet gorur.
2.6.3 Kontrol faaliyetleri, genellikle, risk cevaplarznzn gerektigi
~ekilde uygulanrnalarznz saglarnak uzere olu~turulrnakta ise de buzz
arna~lar bakzrnzndan bizatihi kontrol faaliyetleri risk cevabzdzr.
Kontrol faaliyetlerinin se~irni veya revizyonu i ~ i bu faaliyetlerin
risk cevabz ve ili~kili arna~lar yonunden uygunluklarznzn ve
isabetliliklerinin incelenrnesini i~errnelidir.
2.6.4 Her bir kururn kendine ozgu arna~lara ve uygularna
yaklaprnzna sahip oldugu i ~ i n risk cevaplarznda ve baglantzlz
kontrol faaliyetlerinde farklzlzklar bulunrnaktadzr. fki kururn aynz
arna~lara sahip olrnu~ ve bu arna~larz ger~ekle~tirrnek i ~ i n benzer
kararlarz alrnz~ olsa bile, sonuG olarak ortaya pkan kontrol
faaliyetleri farklz olabilecektir. Bunun nedeni iki farklz yonetirn
ekibinin farklz risk i~tahzna ve farklz risk toleranszna sahip
olrnaszdzr.
2.6.5 Ancak, risk yonetirni baglarnznda butun kontrol prosediirleri
agagzdaki dort kategoriden birine girrnektedir:
Onleyici kontrollar riskin geli~rnesi ve istenmeyen sonucun
ger~eklepnesi olaszlzgznz sznzrlarnak uzere tasarlanzr. Kururnun
arna~larznz ger~ekle~tirrne kabiliyeti uzerindeki riskin etkisi ne
kadar buukse, uygun nitelikte onleyici kontrollarzn uygulanrnasz o
kadar onernli hale gelir.
Yonlendirci kontrollar belirli bir sonuca ula~zlrnasznz saglarnak
uzere tasarlanzr. Bu kontrollar arzu edilrneyen bir hadiseden
jornegin guvenlik ihlalinden) ka~znzlmasz zorunlu oldugunda
ozellikle onemlidir ve dolayzszyla, ~ o g u kez, uygunluk ama~larznzn
ger~eklepnesini desteklemek amaczyla kullanzlzr.
Ortaya pkarzn kontrollar "hadiseden sonra" arzu edilmeyen
sonu~larzn vuku bulmu~ olup olmadzgznz belirlemeyi hedefier. Ne
var ki, uygun nitelikte ortaya pkarzcz kontrollarzn mevcudiyeti,
caydzrzcz bir etki yaratmak suretiyle arzu edilmeyen sonu~larzn
olu~masz riskini de azaltabilir.
Diizeltici kontrollar ortaya Gzkrnz~ arzulanmayan sonu~larz
duzeltmeyi ama~lar. Bu kontrollar, fonlarz ve servisleri kayzplara
veya hasarlara karp korumayz ama~layan mudahale onlemi olarak
da hizmet gorebilir.
2.7 Bilgi ve ~ l e t i ~ i m 2.7.1 fG kontrol ama~larznz desteklemek uzere kullanzlan verilerin
kalite kriterleri ile kurum risk yonetimini desteklemek uzere
kullanzlan verilerin kalite kriterleri arasznda ~ o k k u ~ u k bir farklzlzk
vardzr. Kamu Sektoru fG Kontrol Standartlarz Rehberi bilgi ve
ileti~im hakkznda ayrzntzlz bilgiler i~erdiginden bu Ek kurum risk
yonetim baglamz i~ inde bu kriterlerden daha fazlasznz vermeyi
ama~lamamaktadzr.
Bilgi
2.7.2 Kurum risk yonetimi, ozellikle, i~ kontrol ama~larznzn
ger~eklepnesi i ~ i n gerekli olandan daha g e n i ~ kapsamda bilgi
toplanmasznz ongormektedir: Ornegin, stratejik ama~lara
odaklanmak daha ~ o k pktz ve sonuG bilgisine iht iya~
gostermektedir. Ayrzca, i ~ i n e bu verilerin yerle~tirildigi kullanzm
biraz farklzdzr. G e ~ m i ~ l e ilgili veriler; kuruma, fiili performansz
hedeflere, planlara ve beklentilere kzyasen izlerne irnkenz verir ve
yonetirnin dikkatini gerektiren potansiyel hadiselerle ilgili olarak
onceden uyarzlar getirebilir. Guncel veriler, yonetirne, i~letrne
birirninde/prosesinde rnevcut riskler hakkznda eT zarnanlz bir $kir
elde etrne ve beklentilerden saprnalarz belirlerne irnkenz verir.
Kururn boylelikle faallyetinin risk tolerans sznzrlarz iginde olup
olrnadzgznz belirleyebilir.
2.7.3 Tutarlz bilgiler belirlenip toplanrnalz ve personele,
sorurnluluklarznz yerine getirrnelerine irnken verecek bir forrnatta
ve zarnanda iletilrnelidir. Etkili bir ileti~irn, ayrzca, butun kururn
iginde yukarzdan a~agzya, enine ve a~agzdan yukarzya
gergeklepnelidir. Butun personel ust duzey yonetirnden kururn risk
yonetirn sorurnluluklarznzn ciddiyetle yerine getirilrnesi gerektigi
hususunda net bir rnesaj alrnalzdzr. Calz~anlarzn kururn risk
yonetirn prosesi iginde kendilerine d u ~ e n rolleri ve bu rollerin
diger ki~ilerin galz~rnalarzyla olan ili~kisini anlarnalarz gerekir.
Personel onernli bilgileri yonetirnin uygun kadernesine iletrne
araglarzna sahip olrnalzdzr. DZT payda~larla da etkili bir ileti~irne
ihtiyag vardzr.
2.7.4 Dogru bilgilerle donanrnz~ ki~ilere, istenen zarnanda ve uygun
rnahalde sahip olunrnasz etkili kururn risk yonetirni bakzrnzndan
gereklidir.
2.7.5 JletiTirn, bilgi sisternlerinden ayrz du~unulernez. flgili
personele gorevlerini yerine getirrne irnkenz veren bilgileri
saglarnanzn yanz szra ileti~irn, kururn kiilturunu yansztan,
beklentilere cevap veren, bireylerin ve gruplarzn sorurnluluklarznz
ve diger onernli rneseleleri kapsayan daha genig bir anlarnda
dugunulrnelidir.
2.7.6 Yonetirn, personelden beklenen davranzglarla ve onlarzn
sorurnluluklarzyla ilgili olarak spesifik ve hedefli bir i~ iletigirn
saglar. Bu iletigirn kururnun risk yonetirn felsefesinin ve
yaklagzrnznzn a p k ve s e ~ i k bir beyanznz i~errnelidir. Sure~lere ve
prosedurlere iligkin iletigirn arzulanan kulture paralel olrnalz ve bu
kulturun tesisine hizrnet etrnelidir. fletigirn agagzdaki hususlara
duyarlz olrnalzdzr:
Kururn risk yonetirninin onerni ve yerindeligi
Kururnun arna~larz
Kururn risk igtahz ve risk tolerans derecesi
Riskleri tanzrnlarnada ve degerlendirrnede kullanzlan ortak dil
Risk yonetirn ogelerini uygularnaya ge~irrnede ve desteklernede
personelin rolleri ve sorurnluluklarz
2.7.7 Bunun yanz szra ~alzganlar, risk ternelli bilgileri operasyonel
yonetirne ve butun organizasyona iletrnek i ~ i n ara~lara sahip
olrnalzdzrlar. fgleyig problernleriyle her gun ilgilenrnek dururnunda
olan ilk hat ~alzganlarz, ~ o g u kez, problernler olugur olugrnaz bu
problernleri fark etrnek bakzrnzndan ~ o k iyi konurndadzrlar.
Raporlanacak bu tur bilgiler bakzrnzndan a p k iletigirn kanallarznzn
ve belirgin dinlerne iradesinin bulunrnasz gerekir. Eger kururn
kulturu "rnesajz iletenin olduru1rnesi"ne irnken veriyorsa,
plzganlar problernleri ustlerine iletrneyecekler ve riskler
zarnanznda belirlenrneyebilecektir.
2.7.8 Pek ~ o k dururnda normal raporlama kanallarz raporlann
hiyerargi i~ inde iletilrnesi igin uygundur. Ne var ki, buzz koyullarda
alternatifileti~irn kanallarz gerekir (ihbar hatlan orneginde oldugu
gibi). onemi nedeniyle, etkili kururn risk yonetirni dogrudan ust
yonetirne baglz bir alternatif ileti~irn kanalznzn bulunrnasznz ve bu
kanalzn geri teprne korkusu olrnakszzzn butun personelin
kullanzrnzna hazzr olrnasznz gerektirir.
2.7.9 Uygun ileti~irn yalnzz kururnun i ~ i n d e degil, kururnun dz~znda
da bulunrnalzdzr. Kururnun beklentileri kar~zlayacagz ve bu
beklentileri yonetecegi konusunda guvence verrnek arnaczyla
kururnun riskleri yonetrne tarzz hakkznda d z ~ payda~lara bilgi
verilrnesi gerekir. Bu, ozellikle, halkz etkileyen riskler soz konusu
oldugunda ve hulk hukiirnetin riskleri kendisi i ~ i n yonetrne
kapasitesine bagzrnlz oldugunda onern ta~zrnaktadzr. Kururn dzp
taraflarla ileti~irn ciddiyetle ve durustlukle ger~ekle~tirildiginde, bu
tur ileti~irn butun kururna onernli rnesajlar gonderir ve orgut
kulturu uzerinde onernli bir etkiye sahip olabilir.
2.8.1 Kururn risk yonetirni, kendi ogelerinin zarnan zarfindaki
i~ ley i~ in i degerlendirrnek arnaczyla izlerneye konu olrnalzdzr.
Izlerne, rutin izlerne faaliyetleri, ayrz degerlendirrneler
(evaluations) ya da ikisinin kornbinasyonu araczlzgzyla
ger~ekle~tirilebilir. Kururn risk yonetirn sisternindeki yetersizlikler,
kururnun sure~lerini iyile~tirrnesi arnaczyla, yonetirnin uygun
kadernesine iletilrneli, ciddi rneseleler de ust yonetirne veya kurula
raporlanrnalzdzr.
2.8.2 Bir kururnun arna~larz zarnan i ~ i n d e degi~ebilir. Riskport@@
ve bu porfZdeki risklerin goreli onerni de zarnan zarfinda
degi~ebilir. Eskiden etkili olan risk cevaplarz yetersiz veya
uygulanarnaz hale gelebilir ve kontrol faaliyetleri etkililigini
kaybedebilir veyahut tamamzyla terk edilebilir. He16 uygun ve etkili
olup olmadzgznz belirlemek amaczyla yonetimlerin kendi risk
yonetim sistemlerinin etkililigini surekli olarak izlemeleri gerekir.
2.8.3 Risk yonetiminin etkililigine i l i~kin degerlendirmeler; risk
gruplarznzn anlamlzlzgzna, bu riskleri yonetmedeki risk
cevaplarznzn ve bu cevaplarla ili~kili kontrollarzn onemine baglz
olarak kapsam ve szklzk bakzmzndan degi~iklik gosterir. Yonetim,
risk yonetim ~er~eves in in bir kapsamlz degerlendirmesini yapma
kararz aldzgznda, dikkat strateji belirlenmesi dahil olmak uzere,
surecin butun yonlerinin ele alznmaszna yoneltilmelidir. Ancak,
olagan yonetim aktiviteleri, ornegin risk kayztlarznzn guncellenmesi
ve organizasyonel veya fonksiyonel '$eriyodik kontrollar" da risk
yonetim surecini izlemenin birparpsznz olu~turur.
Kaynakga Australian Standard@ for risk management (Standards Australia, 2004)
Entity RiskManagement Integrated Framework (COSO, 2004)
Integrated Risk Management Framework (Treasury Board of Canada Secretariat, 2001)
Internal Control - Integrated Framework (COSO, 1992)
RiskManagement Standard JARMIC, IRMMLARM, 2002)
The Orange Book: Management of Risk - Principles and Concepts (HM Treasury, 2004)